Интересно GitHub Dependabot подвергнут критике за избыточные обновления.

Admin

Admin

Администратор

1773254048768



Автоматизированный инструмент GitHub Dependabot, предназначенный для обновления зависимостей, стал объектом резкой критики со стороны разработчиков.

Филиппо Вальсорда, сопровождающий криптографических библиотек Go, заявил, что Dependabot часто создаёт больше проблем, чем решает.

После исправления уязвимости в библиотеке filippo.io/edwards25519 Dependabot начал массово создавать pull request в тысячах репозиториев, хотя реальной угрозы для многих проектов не было. Вальсорда отметил, что система действует слишком грубо, не проверяя, используется ли уязвимая функция в конкретном проекте. Это приводит к усталости от предупреждений и снижению уровня безопасности. Разработчик рекомендует использовать более точные инструменты, такие как govulncheck, которые анализируют достижимость уязвимости в реальном коде. Также он подчеркнул, что автоматическое обновление зависимостей без оценки последствий может привести к рискам, включая внедрение вредоносного кода.
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
Admin Интересно Хакеры используют письма от GitHub и Jira для кражи данных. Новости в сети 0
Admin Интересно GitHub заблокировал доступ к сети проектов из-за утечки кода Anthropic. Новости в сети 0
Admin Интересно Claw-code на основе утечки Claude Code побил рекорд GitHub. Новости в сети 0
Admin Интересно Злоумышленники используют GitHub для распространения вредоносных ссылок. Новости в сети 0
Admin Интересно Исследователи обнаружили сотни открытых API-ключей, предоставляющих доступ к AWS, GitHub, Stripe и OpenAI. Новости в сети 0
Admin Интересно Атака на GitHub Action от Checkmarx затронула десятки проектов по всему миру. Новости в сети 0
Admin Интересно TeamPCP взламывает GitHub Actions Checkmarx с использованием украденных учетных данных CI. Новости в сети 0
Admin Интересно Опасный инструмент для взлома iPhone появился на GitHub. Новости в сети 0
Admin Интересно Нейросеть написала код, а пароль спрятать забыла. ИИ превратил GitHub в решето. Новости в сети 0
Admin Интересно Атака GlassWorm использует украденные токены GitHub для внедрения вредоносного кода в репозитории Python. Новости в сети 0
Admin Интересно Злоумышленники взломали GitHub Actions для кражи ключей доступа. Новости в сети 0
Admin Интересно Читы для Fortnite и Roblox оказались вирусом. На GitHub нашли сотни фальшивых архивов. Новости в сети 0
Admin Интересно Проект на GitHub утверждает, что Wi-Fi может видеть сквозь стены. Разработчики сомневаются. Новости в сети 0
Admin Интересно Новая вредоносная программа BoryptGrab распространяется через поддельные репозитории GitHub. Новости в сети 0
Admin Интересно Хакер думал, что украл пароль, а на самом деле – позвонил в полицию. На GitHub учат, как развести взломщика на эмоции (и логи). Новости в сети 0
Admin Интересно Доверяй, но проверяй каждый коммит. GitHub стал (почти) даркнетом. Новости в сети 0
Admin Интересно Эксплойт уже на GitHub. Главная система защиты Cisco снова пробита. Новости в сети 0
Admin Интересно Код на GitHub, который хакеры хотели бы удалить – Agentic Threat Hunting Framework уже в сети. Новости в сети 0
Support81 Xeno RAT опубликован на GitHub: продвинутый кибершпионаж теперь доступен каждому Новости в сети 0
Support81 Более 100 тысяч зараженных репозиториев на GitHub маскируются под легитимные проекты Новости в сети 0
Support81 Взлом или небрежность? Код и пароли Binance были доступны на GitHub в течение нескольких месяцев Новости в сети 0
Support81 GitHub – новая социальная сеть для киберпреступников Новости в сети 0
DOMINUS AstraZeneca оставила пароль от своего сервера на GitHub Новости в сети 0
CMDfromBAT HIDDENEYE - лучший инструмент для фишинга, удаленный с GitHub Фишинг, мошенничество, СИ 18
B GitHub анонсировала мобильное приложение сервиса Новости в сети 1
G Бесплатный хостинг Github Полезные статьи 0
S Крупнейшая DDoS-атаке в истории на GitHub Новости в сети 0
S АНБ США открыло свои проекты и опубликовало на GitHub Новости в сети 0

Название темы